21.08.2025

Развитие технологий искусственного интеллекта открывает новые горизонты для автоматизации повседневных задач, но вместе с этим создает принципиально новые векторы кибератак. Исследователи из Guardio Labs обнаружили критические уязвимости в ИИ-браузерах, которые могут быть использованы злоумышленниками для осуществления сложных мошеннических схем.

Проблема: Уязвимость агентивного ИИ

Что такое PromptFix?

Специалисты по кибербезопасности разработали новую технику внедрения вредоносных команд под названием PromptFix. Эта методика обманывает генеративные модели ИИ, заставляя их выполнять нежелательные действия через внедрение скрытых инструкций в поддельные CAPTCHA-проверки на веб-страницах.

PromptFix представляет собой эволюцию известной техники ClickFix, адаптированную для эпохи искусственного интеллекта. В отличие от традиционных попыток взлома моделей, эта техника использует социальную инженерию, обращаясь к основной цели ИИ — быстро и безоговорочно помогать пользователю.

Механизм атаки

ИИ-браузеры, такие как Comet от Perplexity, обещают автоматизировать рутинные задачи:

  • Интернет-покупки
  • Обработка электронной почты
  • Взаимодействие с веб-сайтами

Однако эти возможности превращаются в уязвимости, когда ИИ взаимодействует с мошенническими страницами без ведома пользователя.

Скамлексити: Новая реальность цифрового мошенничества

Исследователи ввели термин «Скамлексити» (от англ. «scam» и «complexity») для описания новой эры мошенничества, где агентивный ИИ — системы, способные автономно принимать решения и действовать с минимальным человеческим контролем — выводят мошеннические схемы на качественно новый уровень.

Практические сценарии атак

Мошеннические покупки

  • Пользователь дает простую команду: «Купи мне Apple Watch»
  • ИИ-браузер переходит на поддельный сайт (например, подделку Walmart)
  • Система автоматически добавляет товар в корзину
  • Автозаполнение сохраненных адресных и платежных данных без подтверждения

Фишинг через электронную почту

  • Команда: «Проверь email на важные дела»
  • ИИ обрабатывает спам от имени банка
  • Автоматический переход по вредоносной ссылке
  • Ввод учетных данных на поддельной странице входа

Результаты тестирования

При тестировании браузера Comet исследователи обнаружили:

  • Периодические остановки: браузер иногда просил пользователя завершить покупку вручную
  • Полная автоматизация: в нескольких случаях система самостоятельно завершала весь процесс покупки на мошенническом сайте
  • Создание ложного доверия: обрабатывая всю цепочку от email до сайта, Comet фактически «подтверждал» легитимность фишинговой страницы

Технические аспекты PromptFix

Скрытые команды в веб-страницах

PromptFix использует скрытые промпты, встроенные в веб-страницы, которые:

  • Невидимы для человека
  • Распознаются и обрабатываются ИИ-моделью
  • Запускают нежелательные действия

Обход CAPTCHA и загрузка вредоносного ПО

Атака PromptFix способна:

  • Убедить ИИ нажимать на невидимые кнопки
  • Обходить CAPTCHA-проверки
  • Загружать вредоносные файлы без участия пользователя
  • Осуществлять drive-by download атаки

Область применения

Уязвимые платформы:

  • Comet (функционирует как полноценный ИИ-агент)
  • Agent Mode в ChatGPT (файлы загружаются в виртуальную среду)

Отличия в реализации:

  • В ChatGPT файлы остаются в изолированной среде
  • В Comet загрузка происходит непосредственно на компьютер пользователя

Масштаб проблемы: Использование GenAI злоумышленниками

Автоматизация создания фишингового контента

Киберпреступники активно используют генеративный ИИ для:

  • Создания веб-сайтов: конструкторы сайтов на базе ИИ
  • Генерации контента: реалистичные тексты и письма
  • Клонирования брендов: точные копии доверенных компаний
  • Масштабирования атак: low-code платформы для массового развертывания

Конкретные примеры злоупотреблений

Платформа Lovable

Компания Proofpoint зафиксировала многочисленные кампании, использующие сервисы Lovable для:

  • Распространения MFA фишинг-китов (например, Tycoon)
  • Создания криптовалютных wallet drainer’ов
  • Развертывания фишинговых наборов для кражи данных кредитных карт

Типичная схема атаки через Lovable:

  1. Создание поддельного сайта
  2. Перенаправление на CAPTCHA-проверку
  3. После прохождения CAPTCHA — переход на фишинговую страницу Microsoft
  4. Кража учетных данных пользователя

Другие векторы атак:

  • Подделка логистических сервисов (UPS) для кражи личной и финансовой информации
  • Установка троянов удаленного доступа (zgRAT)
  • Инвестиционное мошенничество и кража банковских учетных данных

Deepfake-контент в мошеннических схемах

Новые кампании используют:

  • Обманчивый deepfake-контент на YouTube и в социальных сетях
  • Поддельные торговые ИИ-боты для инвестиционного мошенничества
  • Фиктивные блоги и обзоры на платформах Medium, Blogger, Pinterest для создания ложной легитимности

Защитные меры и рекомендации

Для разработчиков ИИ-систем

Необходимые защитные механизмы:

  • Детекция фишинговых сайтов
  • Проверка репутации URL
  • Обнаружение подделки доменов
  • Анализ вредоносных файлов
  • Упреждающая защита вместо реактивных мер

Системные улучшения

Требуемые изменения:

  • Создание надежных защитных барьеров
  • Внедрение многоуровневой аутентификации действий
  • Обязательное подтверждение пользователя для критических операций
  • Улучшенная песочница для изоляции подозрительного контента

Прогнозы экспертов

Тенденции развития угроз

Согласно отчету CrowdStrike Threat Hunting Report 2025:

  • GenAI дополняет, а не заменяет существующие методы атак
  • Ожидается значительное увеличение использования GenAI-инструментов для социальной инженерии
  • Особенно в краткосрочной и среднесрочной перспективе по мере развития доступности и сложности инструментов

Снижение барьеров для киберпреступности

Использование ИИ приводит к:

  • Упрощению создания сложных мошеннических схем
  • Снижению требований к техническим навыкам злоумышленников
  • Увеличению масштабов и эффективности атак
  • Усложнению обнаружения мошеннических действий

Эра агентивного искусственного интеллекта открывает беспрецедентные возможности для автоматизации, но одновременно создает новые, ранее невозможные векторы атак. PromptFix и концепция Скамлексити демонстрируют, что традиционные подходы к кибербезопасности требуют кардинального пересмотра.

Ключевая проблема заключается в том, что ИИ-системы, призванные помогать пользователям, могут быть обращены против них же, создавая «идеальную цепочку доверия, которая пошла наперекосяк». Пользователь никогда не видит подозрительного отправителя, не проверяет ссылки и не имеет возможности усомниться в легитимности домена.

Для обеспечения безопасности в эпоху ИИ необходимы комплексные решения, сочетающие технические защитные меры, обучение пользователей и постоянное развитие систем обнаружения новых типов угроз. Только такой подход позволит сохранить преимущества ИИ-технологий, минимизировав связанные с ними риски.